在昨天結束的第 23 期 Crypto Wednesday 上,我們邀請了帥氣的 PeckShield 漏洞研究總監羅元琮老師,帶大家一起來了解公鏈存在着什麼樣的安全問題。
羅老師全程高能的用代碼帶大家尋訪各家公鏈的漏洞,告訴我們發現漏洞之後該如何和這些公鏈打交道。現場的小夥伴們對於羅老師漏洞研究的工作非常好奇,如果你也是,那快來打開視頻吧!
視頻回顧
羅老師主要和我們分享了以下三個內容:
公鏈是區塊鏈生態系安全的首位
以太坊公鏈被發現了什麼問題
EOS 公鏈被發現了什麼問題
之後,羅老師也針對公鏈的的安全,給出了以下結論:
底層的基礎設施纔是區塊鏈生態系統中的重中之重,就像日常生活中的水和電一樣;
區塊鏈的漏洞可能存在於任何層面的生態系統中;
如果要及時發現漏洞,就需要藉助技術社羣的力量,他們非常重要
最後,現場的小夥伴們針對羅老師研究漏洞安全的工作,提出了很多的疑問:
A 同學提問:羅老師的團隊是怎麼分工來看公鏈的漏洞的?
羅老師:其實部門看公鏈的就我一個人,所以要麼就是我看到 100% 的漏洞問題,要麼就完全不看。
另外,現場 E 同學也好奇,像以太坊有好幾千行代碼,羅老師是怎麼有效率地尋找 bug 的?
羅老師:我曾經看過 Lunix kernel,裏面有幾千萬行代碼,所以幾千行不算什麼,只要有興趣就能堅持。
也有同學好奇看代碼安全如何做到盈利?
羅老師說:這其實是老闆要考慮的問題。當然,其實有很多種盈利的方法,例如透過找到漏洞後,聯絡該公司等等。
而 Daniel 同學也好奇,做安全的人怎麼獨立去看一個需要很多程序員才能完成的公鏈項目?
羅老師說:一個好的研究人員在看代碼時一定要很全面,需要知道所有的細節,例如共識協議,如何生產隨機數等等。我們需要對項目有足夠的瞭解,知道這個項目的目的,才能更好的瞭解邏輯上可能存在的問題。
現場 H 同學也好奇,要發現漏洞只能逐字逐句去看嗎? 有沒有捷徑或者自動化的工具可以輔助?
公鏈非常複雜,有時候看不懂的地方甚至還需要問項目方的 Modular 爲什麼這樣寫,並不是有模塊看了就知道,因爲每個項目都有不一樣的細節,所以很難找到捷徑。
精彩花絮
帥氣的羅老師
羅老師全程高能的用代碼解析漏洞
現場與小夥伴的精彩問答
會後大家還不願散去,持續的在交流
關於 Nervos
Nervos Network 是由 Nervos 基金會發起並維護的網絡協議標準。
Nervos Network 包含以區塊鏈技術爲核心、相互兼容的一組分層協議,通過一層公有鏈協議保證網絡的安全性與去中心化,二層協議提供具有可擴展性的交易和計算服務,以及多個應用層協議銜接商業場景,以此構建下一代加密經濟網絡的公用基礎設施。
關於 CKB
Nervos Common Knowledge Base(CKB)是一個無需許可鏈,它是 Nervos Network 的基礎層,並在設計上提出了一些理念:
CKB 共識協議 NC-MAX 使用兩階段提交節約帶寬,並根據網絡情況調整自身參數,提升了 Nakamoto Consensus 的可擴展性
CKB 虛擬機採用底層 CPU 指令集架構 RISC-V 開發,提供更高的開發彈性與運行的穩定性
CKB Cell Model 是比特幣 UTXO 模型的通用化,能夠驗證和存儲任何類型的數據
CKB 經濟模型用貨幣政策限制狀態存儲的增長,並實現智能合約平臺的價值存儲功能
關注我們
官網:https://www.nervos.org
論壇:https://talk.nervos.org
電報:http://t.me/nervosnetwork
